최신 보안 동향

분석 방해 기술이 추가된 GuLoader 악성코드 변종

TACHYON & ISARC 2022. 12. 30. 14:13

최근, 분석 방해 기술이 추가된 "GuLoader" 악성코드의 변종이 발견됐다.

 

보안 업체 Crowdstrike에 따르면, 해당 악성코드는 쉘코드 형태의 다운로더로 최신 버전에서는 VBS 파일 실행을 통해 유포되는 것으로 알려졌다. 이 파일을 실행하면 악성 쉘코드를 드롭한 뒤 정상 프로세스에 주입해 실행하고 "Remcos" 악성코드를 다운로드한다.

 

발견된 변종은 프로세스 메모리 전체에서 가상머신 관련 문자열 검사를 수행하며, 가상 환경이 탐지될 경우 쉘코드 실행을 중단하는 것으로 밝혀졌다.

 

[VM 관련 메모리 스캔 방법을 보여주는 코드]

사진출처 : Crowdstrike

 

출처

[1] Crowdstrike (2022.12.19) - Malware Analysis: GuLoader Dissection Reveals New Anti-Analysis Techniques and Code Injection Redundancy

https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/